在日常開發中,Passkeys 無密碼認證推廣實踐的使用頻率越來越高。本文系統地講解其用法、原理和最佳化策略。
快速上手
關鍵在於理解核心邏輯:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
效能最佳化需要結合具體場景,不是所有情況都需要過度最佳化。
內部原理
我們可以通過以下方式來改進:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這套方案已經在線上穩定運行了半年以上,經過了實際驗證。
業務實戰
先來看基本的實現方式:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這段程式碼展示了基本的使用方式。實際專案中還需要考慮錯誤處理和邊界條件。
效能對比
在這個基礎上,我們可以進一步最佳化:
javascript
function setCSP(req, res, next) {
const nonce = crypto.randomBytes(16).toString('base64')
res.setHeader('Content-Security-Policy', [
"default-src 'self'",
`script-src 'self' 'nonce-${nonce}'`,
"style-src 'self' 'unsafe-inline'",
"img-src 'self' data: https:",
"connect-src 'self' https://api.example.com",
"frame-ancestors 'none'"
].join('; '))
next()
}
這種模式在大型專案中非常實用,能顯著降低維護成本。
小結
- 團隊協作中約定和文件比技術本身更重要
- 關注社群動態,技術方案需要持續迭代
- 不要為了用新技術而用新技術
- 程式碼示例僅供參考,需根據業務場景調整